ISA Server 200o Port routen

[Crockett 10]

@grizzly999

 

ok, der intregrierten Modus hatte ich bei der Installation gewählt.

Cache Größe und so hatte ich angegeben.

 

Mit Wizard meinte ich nach der Installation vom ISA (war komplett durch) fragte er mich ob er den Assistenten starten soll für die erste Einrichtung des ISA´s.. die habe ich dann durchlaufen lassen und besagte Dinge geändert. Ich vermute das er das ganze auf gemacht hat als ich unter IP Paket Filter "ISA SERVER sichern" angeklickt habe. Dort habe ich dann die Option "Fest zugeordnet gewählt" Ist das ok oder falsch ?

 

 

Gruß

 

Christian

[Crockett 10]

@grizzly999

 

Das ist echt heftig... ich habe gerade aus spass eine Emule Client auf einer Workstation gestartet die Gate und DNS drin hat. Selbst Emule connectet auf Ports wie 4661 , 4242 etc... zwar mit einer LowID aber er sollte auf keinen Fall connecten.

 

Gruß´

 

Christian

[grizzly999 11]

Eigentlich mach diese Funktion den Server noch "sicherer", was auch immer er tut, aber er macht nichts offen.

Ich benutze die Funktion nie, weil nirgends so genau dokumentiert ist, was sie in den einzelnen Einstellungen tut (zumindest habe ich bis jetzt noch nichts gefunden). Da sich die Einstellungen gem. Warnhinweis nicht alle wieder rückgängig machen lassen, nutze ich diese Einstellung nicht.

 

Einfach nur den ISA aufsetzen und dann von Hand die benötigten Regeln einrichten. Das reicht. Übrigens wenn man im Menü Ansicht die "Aufgabensicht" oder wie das heißt abschaltet, kann man alles ohne diese Wizards etwas professioneller konfigurieren.

 

grizzly999

[Crockett 10]

@grizzly999

 

Einen Teil des Fehlers habe ich denke ich mal gefunden.

Unter Protokollregeln ist eingestellt das er den Gesamten IP Datenverkehr durchlassen soll. Unter Anwendung steht dann bei der Regel "ClientSatz intern" das "intern" ist das von mir angelegte interne Netz 192.168.1.x.

Wenn ich aber nun z.b. nur HTTP freigebe kann ein Client mit Gate und DNS trotzdem ohne Proxy surfen.. Das muss man doch abstellen können.

 

 

Gruß

 

Christian

[solinske 10]

Port 8080 offen, hast Du im Netz einen aktiven IIS laufen, der den Port 80 für sich reserviert ????

 

dadurch schaltet der Isa auf 8080 um, damit es nicht knallt.

[grizzly999 11]

Ja, aber der ist nur uintern offen, nicht nach extern.

 

Wenn ich aber nun z.b. nur HTTP freigebe kann ein Client mit Gate und DNS trotzdem ohne Proxy surfen.. Das muss man doch abstellen können

Ja, wenn man in den Site- und Inhaltsregeln Benutzer oder Benutzergruppen definiert, die surfen dürfen. Dann geht ohne WebProxy Eintrag nichts mehr.

 

grizzly999

[Crockett 10]

@solinske

 

Nein, einen IIS habe ich im Netz nicht laufen. Bei dem Windows2000 Server wo der ISA drauf läuft habe ich den IIS auch während der Server Inst rausgenommen.

 

@grizzly999

 

So ich habe jetzt den ISA neu installiert. Direkt danach das SP1 für den ISA. Auch den Assistenten habe ich nicht durchlaufen lassen. Danach ging überhaupt nichts mit Internet so wie es sein sollte. Es ging lediglich eine PING Anfrage von ISA Server auf eine IP im Internet, Aber auch keine Namensauflösung. So sollte es ja denke ich mal sein. Von den Clients aus ging auch über Proxy keine Verbindung raus. So weit so gut.

 

Somit habe ich danach eine Protokoll Regel erstellt wo für die internen Clients HTTP und HTTPS erlaubt ist. Damit ging dann auch die Verbindung von Client über Proxy nach draußen. Wenn ich aber in der Protokoll Regel statt nur HTTP und HTTPS -- GESMATEN IP Datenverkehr angebe, dann kan jeder Client auch ohne Proxy ins Internet, POP3 MAILS abholen, EMAILS schreiben etc etc... IST DAS NORMAL ?

[grizzly999 11]

Ja, das ist normal. Gesamter IP Verkehr ist eben gesamter IP-Verkehr, egal welcher Zielport (der über UDP oder TCP geht).

Darum sollte man DAS nicht tun, sondern schön jedes Protokoll, das man braucht einzeln freischalten. Ansonsten ist der ISA von innen fast komplett auf.

 

Aber jetzt tut's ja, wie es soll. ISA ist aber ein kompliziertes Teil, ich empfehle dir daher für den tieferen Einstieg entweder einen ISA-Kurs oder ein gutes ISA Buch. Ich habe schon mal ein oder zwei Vorschläge im Board gepostet.

 

grizzly999

[Crockett 10]

@grizzly999

 

ja laufen tut der ISA jetzt erstmal. Das mit Buch und Kurs ist auch schon in Arbeit :-))

Vielleicht eine abschließende Frage : Ist es nicht möglich es zu unterbinden das ein Client der eine GATE UND DNS Eintag hat es zu unterbinden ohne den Proxy Server Eintrag zu surfen.

 

Mail und anderes kann man abstellen ist klar, aber auch wenn ich nur HTTP freigebe kann er ohne Proxy surfen.

 

 

THX !

 

Christian

[grizzly999 11]

Doch, oben schon mal geschrieben:

Ja, wenn man in den Site- und Inhaltsregeln Benutzer oder Benutzergruppen definiert, anstatt über IP-Adressen, die surfen dürfen. Dann geht ohne WebProxy Eintrag nichts mehr

 

grizzly999

[Crockett 10]

@grizzly999

 

Ja sorry hatte ich vergessen zu posten. Die Benutzer laufen in einer NT 4 Domäne. Der ISA läuft auf einem W2K Server und ist nicht Mtiglieder dieser Domäne. Folglich kann ich die Bentzer der NT4 Domäne dort nicht hinzufügen.

 

Muss man nun erst den ISA Server mit in die NT4 Domäne aufnehmen ?!

 

THX

 

Christian

[grizzly999 11]

Wenn man mit Benutzerauthenitifizierung arbeiten will, ja. Oder man richtet Benutzer auf dem ISA lokal ein, und nutzt diese zur Authentifizierung. Die Benutzer müssen sich dann aber immer explizit authentifizieren, eine integrierte Authentifizierung gibt es nur bedingt (Username und Kennwort gleich).

Oder man richtet den ISA in einer eigenen Domäne ein und richtet eine einseitige Vertraeunsstellung zur Arbeitsdomäne ein (ist übrigens die empfohlene Methode in Tom Shinders ISA Buch).

 

 

grizzly999

[Crockett 10]

@grizzly999

 

Ok, habe Testweise einen Benutzer angelegt und die SiteRichtlinien umgestellt. Somit ist immer ein Login erforderlich.

Werde es aber noch umstellen das eine eigene Domäne läuft.

 

 

Danke erstmal für die super Hilfe !

 

 

Gruß

 

Christian

[Foster´s 10]

Original geschrieben von Crockett

 

Das mit der Anleitung zum veröffentlichen hat wohl gut geklappt. Nur jetzt das Problem. Ich muss ihm beim veröffentlichen die externe IP des ISA Servers geben. Da ich über eine DFÜ Verbindung DSL die Internet Verbindung herstelle, ändert sich die IP bei einer Neueinwahl. Dann funktioniert der veröffentlichte Server nicht mehr,da die Regel noch die alte INET IP intus hat.

Gibt es hierfür einen Trcik , das er die automatisch aktualisiert ?

 

----

 

 

Hy Leute, stehe gerade vor dem gleichen Problem. Möchte einen TerminalServer bzw. Mailserver hinter dem ISA erreichen. Nur bei Neueinwahl ändert sich ja die IP in den Serververöffentlichungen --- hab auch das von grizzly999 angesprochen Script von w+w.isatools.org probiert (ohne Erfolg) ....

 

Gibt es evtl. irgend eine andere möglichkeit (Am ISA z.b. den Port 25 frei machen und ihm sagen "wenn Anfrage an Port 25 -> dann weiterleiten an IP x.x.x.x ")

 

 

P.S.: ISA und Mailserver haben die gleiche Netzadresse ...

 

Danke schon mal ...

 

MFG

CP

[Crockett 10]

Hallo !

 

Ich habe seinerzeit das Problem so gelöst das ich einen DSL Router zwischen ISA und DSL Modem gehangen habe.

Das externe Device ist für den ISA nun die interne IP des Routers.

Diese muss natürlich in einem anderen Kreis liegen als das restliche interne Netz. Die 2. NIC des ISA bekommt dann eine IP aus dem Routerkreis und wird direkt an den Router angeschlossen. Somit ist es nun egal ob sich die Internet IP ändert. Läuft so einwandfrei mit sämtlichen Serververöffentlichungen.

 

 

Gruß

 

Christian